Oggetti firewall

Oggetti firewall#

Gli oggetti firewall sono insiemi predefiniti di indirizzi di rete che possono essere utilizzati per semplificare e ottimizzare la configurazione del firewall. Questi oggetti consentono di raggruppare indirizzi IP, reti o nomi di dominio correlati in unità riutilizzabili, facilitando la creazione e la gestione di regole firewall, port forwarding e altre policy di rete.

I vantaggi dell’utilizzo degli oggetti firewall includono:

  • organizzazione e leggibilità migliorate della configurazione del firewall

  • probabilità ridotta di errori durante l’inserimento manuale di indirizzi IP o reti

  • manutenzione più semplice - l’aggiornamento di un oggetto aggiorna automaticamente tutte le regole associate

  • gestione delle regole più efficiente, soprattutto per reti complesse

Gli oggetti firewall sono particolarmente utili quando sono presenti più regole che fanno riferimento allo stesso insieme di indirizzi o quando è necessario modificare frequentemente gruppi di indirizzi. Tuttavia, per configurazioni semplici con solo alcune regole statiche, l’utilizzo degli oggetti potrebbe non essere necessario e potrebbe aggiungere complessità non necessaria.

Il sistema fornisce diversi tipi di oggetti firewall:

  • Lease statici (DHCP Reservation): assegnazioni IP statiche per dispositivi specifici

  • Record DNS: nomi di dominio associati a indirizzi IP specifici

  • Utenti VPN: utenti con indirizzi IP riservati da OpenVPN Road Warrior

  • Sost set: gruppi di indirizzi IP, reti o intervalli

  • Domain set: raccolte di nomi di dominio che si risolvono in indirizzi IP

Lease statici#

Lease statici, note anche come DHCP reservations, permettono di assegnare indirizzi IP fissi a dispositivi specifici sulla rete. Questa funzionalità unisce la comodità del DHCP con la stabilità dell’assegnazione statica degli indirizzi IP.

Vantaggi principali:

  • garantisce che i dispositivi ricevano sempre lo stesso indirizzo IP

  • consente di associare nomi host facili da ricordare ai dispositivi

  • semplifica la gestione e la risoluzione dei problemi della rete

Un lease statico consiste in:

  • hostname: Un nome riconoscibile per il dispositivo

  • Indirizzo IP: L’IP fisso che si desidera assegnare (deve essere all’interno dell’intervallo DHCP)

  • Indirizzo MAC: L’identificatore hardware univoco del dispositivo

Record DNS#

Record DNS consentono di creare associazioni locali tra nomi host e indirizzi IP. Questi record locali hanno la precedenza sulle query DNS esterne, offrendo un maggiore controllo sulla risoluzione dei nomi nella rete.

Un record DNS include:

  • hostname: Il nome di dominio che si desidera risolvere localmente

  • Indirizzo IP: L’indirizzo IP corrispondente per il nome host

Casi d’uso per i record DNS locali:

  • creare collegamenti rapidi a risorse interne (ad esempio, intranet.mycompany.local)

  • ignorare il DNS esterno per scopi di test o di sicurezza

  • impostare nomi di dominio personalizzati per i servizi locali

Utilizzando lease statici e record DNS locali, è possibile creare un ambiente di rete più organizzato e facilmente gestibile. Queste funzionalità funzionano perfettamente con altri oggetti del firewall come gli host set, offrendo strumenti potenti per l’amministrazione della rete.

Per istruzioni dettagliate su come creare e gestire lease statici e record DNS, fare riferimento ai capitoli di configurazione DHCP e DNS.

Utenti VPN#

Gli utenti OpenVPN con riserva di IP possono essere utilizzati come oggetti firewall, consentendo il controllo dell’accesso alla rete specifico per utente. Questa funzionalità si applica sia agli utenti locali che remoti (LDAP) configurati per l’accesso OpenVPN.

Punti chiave:

  • a ciascun utente può essere assegnato un indirizzo IP OpenVPN specifico

  • questi utenti possono essere referenziati nelle regole del firewall come origine o destinazione

  • si applica sia agli utenti locali che a quelli remoti (LDAP)

  • consente la creazione di politiche di accesso specifiche per l’utente

Casi d’uso:

  • limitare gli utenti OpenVPN a specifiche risorse di rete

  • creare elenchi di autorizzazione/negazione basati sull’utente

  • implementare politiche di accesso basate sul tempo per utenti remoti

  • monitorare e controllare l’utilizzo della banda per utente

Requisiti:

  • l’utente ha l’accesso OpenVPN abilitato

  • un indirizzo IP specifico è riservato per l’utente

Utilizzando gli utenti OpenVPN come oggetti firewall, è possibile creare un ambiente di rete più sicuro con politiche di accesso direttamente collegate alle identità degli utenti.

Host set#

I set host sono oggetti firewall versatili che consentono di raggruppare più indirizzi IP, reti o intervalli in un’unica unità facilmente gestibile. Questi set possono essere utilizzati in diverse regole firewall, semplificando il processo di controllo del traffico per più destinazioni o sorgenti.

Caratteristiche principali dei host set:

  1. Supporto versione IP:

    • disponibile sia per indirizzi IPv4 che IPv6

    • ogni host set è specifico per una versione IP

  2. Contenuto flessibile, i host set possono includere:

    • indirizzi IP individuali

    • intervalli di rete in notazione CIDR

    • Intervalli IP

    • Prenotazioni DHCP

    • Nomi dei record DNS

    • Utenti VPN (solo per IPv4)

  3. Gestione semplice:

    • creare, modificare o eliminare host set senza modificare direttamente le regole del firewall

    • le modifiche a un host set si applicano automaticamente a tutte le regole che utilizzano quel set

  4. Casi d’uso:

    • raggruppare i server aziendali per il controllo degli accessi

    • creare elenchi di autorizzazione o negazione per segmenti di rete specifici

    • gestire l’accesso remoto per più utenti VPN

Nota

Gli host set sono pienamente supportati nella loro completezza espressiva (IP, CIDR, intervallo, raggruppamenti) all’interno delle regole del firewall. Altre pagine potrebbero supportare solo un sottoinsieme ridotto; ad esempio, MultiWAN supporta solo indirizzi IP singoli e CIDR. In questi casi, nei menu a discesa verranno visualizzati solo gli host set compatibili quando si utilizza l’oggetto all’interno della regola.

Gestione degli host set#

Accedere alla pagina Oggetti nella sezione Utenti e oggetti dal menu laterale sinistro, quindi navigare nella scheda Host set.

La pagina visualizzerà un elenco degli host set esistenti, inclusi i loro nomi, le versioni IP e il numero di record in ciascun set.

All’interno dell’elenco, è possibile trovare anche oggetti host provenienti da altre sezioni come:

  • Lease statici

  • Record DNS

  • Utenti VPN

Questi oggetti possono essere utilizzati negli host set per creare regole più complesse, ma non possono essere modificati direttamente dalla pagina degli host set.

Quando un oggetto non viene utilizzato in alcun set host né in alcuna regola del firewall, verrà contrassegnato come non utilizzato nell’elenco.

Per vedere dove viene utilizzato un oggetto, fare clic sul collegamento Mostra utilizzi accanto all’oggetto.

Si noti che gli oggetti utilizzati non possono essere eliminati finché non vengono rimossi da tutti gli host set e dalle regole del firewall.

Aggiungere un Host Set#

  1. Accedere alla pagina Oggetti nella sezione Uteenti ed oggetti dal menu laterale sinistro.

    • Passare alla scheda Host set

    • Fare clic sul pulsante Aggiungi host set

  2. Immettere il nome dell’Host Set

    • Nel campo Nome, inserire un nome descrittivo per il host set

    • Utilizzare solo lettere e numeri; spazi e caratteri speciali non sono consentiti

    • Scegliere un nome che identifichi chiaramente lo scopo del gruppo di host

  3. Selezionare la versione IP

    • In Versione IP, scegliere tra IPv4 e IPv6

    • Selezionare IPv4 per gli indirizzi standard del protocollo Internet

    • Scegliere IPv6 se si utilizza il formato di indirizzo più recente ed esteso

  4. Aggiungere record

    • Nel campo Record, è possibile aggiungere gli host per questo set

    • Fare clic sul menu a discesa per scegliere tra le opzioni predefinite oppure inserire un valore personalizzato.

    • È possibile aggiungere i seguenti tipi di record:

      • Indirizzi IP individuali (ad es., 192.168.1.10)

      • Notazione CIDR per le reti (ad es., 10.10.0.0/24)

      • Intervalli IP (ad es., 10.10.1.1-10.10.1.5)

      • Oggetti creati in precedenza

    • Dopo aver inserito ciascun record, fare clic su Aggiungi record per includerlo nell’insieme

    • Ripetere questo processo per aggiungere più record secondo necessità

  5. Finalizzare gli Host set

    • Verificare che tutte le informazioni inserite siano corrette

    • Se è necessario rimuovere un record, utilizzare l’icona di eliminazione (cestino) accanto ad esso

    • Una volta soddisfatti della configurazione dell’host set, fare clic su Aggiungi host set per crearlo.

    • Se è necessario ricominciare da capo o annullare il processo, fare clic su Annulla

Domain set#

I domain set sono oggetti del firewall che consentono di raggruppare più nomi di dominio in un’unica unità gestibile. Questi set sono particolarmente utili per creare regole basate sugli indirizzi web anziché sugli indirizzi IP, che possono cambiare frequentemente per molti siti web.

Caratteristiche principali dei domain set:

  1. Risoluzione DNS:

    • i nomi di dominio presenti nell’insieme vengono automaticamente risolti in indirizzi IP

    • la risoluzione viene aggiornata periodicamente per garantire l’accuratezza

  2. Supporto versione IP:

    • può essere configurato sia per IPv4 che per IPv6

    • ogni domain set è specifico per una versione IP

  3. Contenuto flessibile, i domain set possono includere:

    • nomi di dominio completamente qualificati (ad es., www.example.com)

    • domini wildcard (ad esempio, example.com, corrisponderà a tutti i sottodomini)

  4. Timeout automatico:

    • I record DNS nel set vengono memorizzati nella cache per una durata specificata

    • un processo di aggiornamento automatico aggiorna periodicamente la risoluzione

  5. Gestione semplice:

    • creare, modificare o eliminare insiemi di domini senza modificare direttamente le regole del firewall

    • le modifiche apportate a un domain set vengono applicate automaticamente a tutte le regole che utilizzano quel set

Casi d’uso per i domain set:

  • controllo delle applicazioni: gestire l’accesso ai servizi cloud o alle piattaforme di social media

  • sicurezza: creare regole di autorizzazione per domini attendibili

  • prevenzione malware: creare regole di negazione per domini noti come dannosi

Vantaggi dell’utilizzo dei domain set:

  • semplificare la gestione delle regole basate sugli indirizzi web

  • gestire automaticamente le modifiche degli indirizzi IP dei siti web

  • ridurre la necessità di aggiornamenti manuali alle regole del firewall

  • fornire un modo più intuitivo per controllare l’accesso ai servizi basati sul web

Quando utilizzare i domain set:

  • quando è necessario controllare l’accesso a siti web che potrebbero cambiare indirizzo IP

  • per l’implementazione di politiche di filtraggio dei contenuti

  • quando si gestisce l’accesso ai servizi cloud o alle applicazioni web

  • per la creazione di criteri di sicurezza basati sulla reputazione del dominio

Temporizzazione della cache DNS#

Le voci del set di domini vengono aggiornate quando dnsmasq esegue una nuova ricerca per il dominio. Se la risposta viene fornita dalla cache locale, l’IP non viene aggiunto nuovamente al set.

Consultare Tempistica di aggiornamento del set di domini per informazioni su come la temporizzazione della cache influisce sull’aggiornamento dei set di domini.

Gestire i domain set#

Accedere alla pagina Oggetti nella sezione Utenti e oggetti dal menu laterale sinistro, quindi navigare nella scheda Domain set.

La pagina visualizzerà un elenco dei domain set esistenti, inclusi i loro nomi, le versioni IP e il numero di domini in ciascun set.

Se un insieme di domini non viene utilizzato in nessuna regola del firewall, verrà contrassegnato come non utilizzato nell’elenco. Per vedere dove viene utilizzato un insieme di domini, fare clic sul link Mostra utilizzi accanto all’insieme.

Aggiungere un Domain Set#

  1. Accedere all’interfaccia Aggiungi insieme di domini

    • Accedere alla pagina Oggetti nella sezione Utenti e oggetti dal menu laterale sinistro

    • Passare alla scheda Domain set

    • Fare clic sul pulsante Aggiungi domain set

  2. Inserire il nome del Domain Set:

    • Nel campo Nome, inserire un nome descrittivo per il domain set

    • Utilizzare solo lettere e numeri; spazi e caratteri speciali non sono consentiti

    • Scegliere un nome che identifichi chiaramente lo scopo del gruppo di domini

  3. Selezionare la versione IP:

    • In Versione IP, scegliere tra IPv4 e IPv6

    • I domini inseriti verranno risolti in IPv4 o IPv6 in base alla versione IP selezionata.

    • Se è necessario creare un domain set per entrambe le versioni IP, sarà necessario creare set separati per ciascuna.

  4. Aggiungere domini:

    • Nel campo Domini, è possibile aggiungere i domini per questo set

    • Inserire i nomi di dominio nel campo fornito

    • Dopo aver inserito ciascun dominio, fare clic su Aggiungi dominio per includerlo nell’insieme.

    • Ripetere questo processo per aggiungere più domini secondo necessità

  5. Finalizzare il Domain Set:

    • Verificare che tutte le informazioni inserite siano corrette

    • Se è necessario rimuovere un dominio, utilizzare l’icona di eliminazione (cestino) accanto ad esso

    • Una volta soddisfatti della configurazione del domain set, fare clic su Aggiungi domain set per crearlo

    • Se è necessario ricominciare da capo o annullare il processo, fare clic su Annulla